روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ گالری اسمارتفون شما ممکن است حاوی عکسها و اسکرینشاتهایی از اطلاعات مهمی باشد که آنجای برای ایمنی یا راحتی نگه میدارید؛ مانند داکیومنتها، قراردادهای بانکی یا عبارات بازیابی برای بازیابی والتهای رمزارز. همه این دادهها را میشود با یک اپ مخرب مانند سارق SparkCat که کشفش کردهایم سرقت کرد. این بدافزار در حال حاضر طوری تنظیم شده که دادههای کریپتو والت را سرقت کند اما میتواند براحتی برای سرقت هر اطلاعات ارزشمند دیگری تغییر کاربری بدهد. بدترین بخش این است که بدافزار مذکور به فروشگاههای رسمی اپ با تقریباً 250 هزار دانلود اپهای آلوده (تنها از خود گوگلپلی) راه پیدا کرده است. گرچه اپهای مخرب پیشتر در گوگلپلی پیدا شدهاند اما این اولین بار است تروجان سارق در اپ استور شناسایی میشود. اما این تهدید چطور کار میکند و برای محافظت از خود باید چه اقداماتی انجام داد؟
افزونههای مخرب در اپهای قانونی
اپهایی که حاوی اجزای مخرب SparkCat هستند به دو دسته تقسیم میشوند. برخی مانند اپهای مسنجر متعدد و مشابه که ادعا دارند عملکرد هوش مصنوعی را دارند واضحاً به عنوان دام طراحی شدهاند. برخی دیگر اپهای قانونی هستند: سرویسهای تحویل غذا، اخبار خوانها و ابزارهای کریپتووالت. هنوز نمیدانیم چطور کارکرد تروجان وارد این اپها شده. شاید این حاصل حمله زنجیره تأمین باشد؛ جایی که جزء طرفسوم بکاررفته در اپ آلوده شده است. به طور جایگزین، توسعهدهندگان شاید عامدانه تروجان را در اپهای خود جاساز کردهاند. سارق، عکسها را در گالری اسمارتفون تحلیل میکند و برای همان منظور، همه اپهای آلوده برای دسترسی درخواست میدهند. در بسیاری از موارد، این درخواست به نظر تماماً قانونی است. برای مثال اپ تحویل غذای ComeCome درخواست دسترسی برای چت پشتیبانی مشتری درست به محض باز کردن چت را داشت که چیز کاملاً طبیعی است. سایر برنامهها هنگام راهاندازی عملکرد اصلی خود درخواست دسترسی به گالری میکنند، که همچنان بی ضرر به نظر میرسد. پس از همه، شما می خواهید بتوانید عکسها را در یک پیام رسان به اشتراک بگذارید، درست است؟
با این حال، به محض اینکه کاربر اجازه دسترسی به عکسهای خاص یا کل گالری را میدهد، بدافزار شروع به جستجوی تمام عکسهایی که میتواند به آنها برسد، میگردد و هر چیزی با ارزش را جستجو میکند.
سرقتی که نیروش را از هوش مصنوعی گرفته
برای یافتن دادههای کیف پول رمزنگاری شده در میان عکسهای گربهها و غروب خورشید، تروجان دارای یک ماژول تشخیص کاراکتر نوری OCR) ) مبتنی بر Google ML Kit است - یک کتابخانه جهانی یادگیری ماشین. بسته به تنظیمات زبان دستگاه، SparkCat مدل هایی را دانلود میکند که برای تشخیص اسکریپت مربوطه در عکس ها، اعم از لاتین، کرهای، چینی یا ژاپنی آموزش دیدهاند. پس از تشخیص متن در یک تصویر، تروجان آن را با مجموعهای از قوانین بارگذاری شده از سرور فرمان و کنترل خود بررسی میکند. علاوه بر کلمات کلیدی از لیست، فیلتر میتواند توسط الگوهای خاصی مانند ترکیب حروف بیمعنی در کدهای پشتیبان یا توالی کلمات خاص در عبارات اولیه فعال شود. تروجان تمام عکسهای حاوی متن با ارزش بالقوه را به همراه اطلاعات دقیق در مورد متن شناساییشده و دستگاهی که تصویر از آن دزدیده شده است، در سرورهای مهاجمان آپلود میکند.
مقیاس و قربانیان حمله
ما 10 اپ مخرب را در گوگلپلی و11 اپ مخرب در اپ استور شناسایی کردیم. در زمان نگار این متن، همه اپهای مخرب از فروشگاهها برداشته شدند. تعداد کلی دانلودها از گوگل پلی به تنهایی از 242 هزار در زمان تحلیل تجاوز کرد و دادههای تلهمتری ما نشان میدهد همان بدافزار از سایر سایتها و فروشگاههای غیرقانونی اپ نیز موجود بود.
با قضاوت از دیکشنریهای SparkCat، این تروجان طوری تربیتشده که در بسیاری از کشورهای اروپا و آسیا دادههایی را از کاربران سرقت کند و شواهد نشان میدهد حملات دست کم از مارس 2024 فعال بودهاند. نویسندگان این بدافزار احتمالاً به زبان چینی مسلط هستند.
راهکار امنیتی
متأسفانه، توصیه قدیمیِ «اپهای امتیاز بالا را فقط از فروشگاههای رسمی اپ دانلود کنید» دیگر تنها راه علاج نیست. حتی اپ استور اکنون توسط یک سارق داده واقعی مورد نفوذ قرار گرفته و رخدادهای مشابه مکرراً در گوگلپلی رخ میدهد. از این رو، باید اینجا معیارها را تقویت کنیم: فقط برنامههای با رتبهبندی بالا را با هزاران یا بهتر است میلیونها بار دانلود کنید که حداقل چند ماه پیش منتشر شدهاند. همچنین، پیوندهای برنامهها را در منابع رسمی (مانند وبسایت توسعهدهندگان) تأیید کنید تا از جعلی نبودن آنها اطمینان حاصل کنید و نظرات را بخوانید - بهویژه موارد منفی. و البته مطمئن شوید که یک سیستم امنیتی جامع بر روی تمامی گوشیهای هوشمند و رایانه های خود نصب کنید. همچنین باید به شدت در مورد دادن مجوزها به اپهای جدید محتاط عمل کنید. پیشتر، این نگرانی برای تنظیمات Accessibility وجود داشت اما اکنون میبینیم که حتی دادن دسترسی گالری هم میتواند به سرقت دادههای شخصی منجر شود. اگر کاملاً مطمن نیستید که اپ قانونی است یا نه (برای مثال شاید مسنجر رسمی نباشد بلکه یک نسخه مود باشد) دسترسی کامل به عکسها و ویدیوهای خود را ندهید. فقط در صورت ضرورت، دسترسی به برخی عکسها را بدهید. ذخیره داکیومنتها، پسوردها و دادههای بانکذاری یا عکسهای عبارات بازیابی در گالری اسمارتفون شما به شدت ناامن است- علاوه بر دزدهایی مانند SparkCat، همیشه این خطر وجود دارد که شخصی به عکسها نگاه کند یا به طور تصادفی آنها را در یک پیامرسان یا سرویس اشتراک فایل آپلود کنید. چنین اطلاعاتی باید در یک برنامه اختصاصی ذخیره شود. برای مثال، Kaspersky Password Manager به شما امکان میدهد نه تنها رمزهای عبور و رمزهای احراز هویت دو مرحلهای، بلکه جزئیات کارت بانکی و اسناد اسکنشده را در همه دستگاههای خود ذخیره و همگامسازی کنید - همه به شکل رمزگذاریشده. به هر حال، این برنامه با اشتراکهای کسپرسکی پلاس و کسپرسکی پریمیوم ما ارائه میشود. در آخر، اگر از قبل اپ آلودهای را نصب کردهاید آن را پاک نموده و تا زمانی که توسعهدهنده نسخه فیکسشده را بیرون نداده از آن استفاده نکنید. در عین حال به دقت گالری عکس خود را بررسی کنید تا ارزیابی شود مجرمان سایبری ممکن است به چه دادههایی رسیده باشند. گرچه نسخه SparkCat که به طور خاص عبارات بازیابی را شکار میکند اما ممکن است تروجان برای سرقت اطلاعات دیگر پیکربندی مجدد شود. در مورد عبارات بازیابی کیف پول رمزنگاری، پس از ایجاد، نمیتوان آنها را تغییر داد. یک کیف پول رمزنگاری جدید ایجاد کنید و تمام وجوه خود را از کیف پول در معرض خطر انتقال دهید - و سپس نسخه دستکاریشده را کاملاً رها کنید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.